LuckyStrike Agent 恶意软件在 Space Pirates 网络攻击中瞄准俄罗斯 IT 公司
随着黑客组织 Space Pirates 发起新一轮攻击,俄罗斯 IT 组织正面临新发现的网络威胁。俄罗斯电信公司的网络安全部门 Solar 于 2024 年 11 月首次发现了这一恶意活动,该活动利用了一种之前未知的恶意软件 LuckyStrike Agent。这项复杂的网络间谍活动以 Erudite Mogwai 的代号进行追踪,突显了俄罗斯持续渗透科技领域高价值目标的努力。
Table of Contents
谁是宇宙海盗?
Space Pirates 是一个高级持续性威胁 (APT) 组织,以网络间谍活动而闻名,主要针对政府机构和高科技行业。该组织至少自 2017 年以来一直活跃,其活动范围从俄罗斯延伸到格鲁吉亚和蒙古等国家。它与另一个与中国有关的 APT 组织 Webworm 有着明显的战术重叠,暗示可能与国家支持的网络活动有联系。
LuckyStrike 代理攻击内部
初始入侵和横向移动
Solar 研究人员表示,此次攻击始于 2023 年 3 月之前对可公开访问的 Web 服务的入侵。攻击者行动谨慎,在长达 19 个月的时间里进行侦察并逐渐在网络上蔓延。到 2024 年 11 月,他们已经获得了与系统监控相关的关键网络段的访问权限。
LuckyStrike 代理商的作用
新发现的 LuckyStrike Agent 恶意软件是一种多功能 .NET 后门,它使用 Microsoft OneDrive 进行命令与控制 (C2) 通信。这使攻击者能够秘密发出命令并窃取敏感数据,同时混入合法网络流量中。
攻击中的其他工具
除了 LuckyStrike Agent 之外,Space Pirates 还雇佣了:
- Deed RAT (ShadowPad Light) — 一种提供持久访问的隐秘远程访问木马。
- 修改后的 Stowaway 代理——针对加密通信优化的定制代理实用程序,使用 LZ4 压缩、XXTEA 加密和 QUIC 协议支持来逃避检测。
通过仔细修改 Stowaway,攻击者删除了不必要的功能并改变了结构大小——可能是为了绕过基于签名的检测系统。
持续且不断演变的威胁
像 Space Pirates 这样的 APT 组织有着长期的目标,通常会在数月甚至数年的时间里保持对受感染环境的访问。他们能够在稳步扩大立足点的同时保持不被发现,这凸显了持续威胁监控和主动网络安全防御的重要性。
随着网络威胁的不断演变,组织必须采用多层安全方法,包括网络分段、端点监控和定期漏洞评估。使用 OneDrive 等云服务进行 C2 操作也引发了人们对传统安全工具无法检测到合法平台中隐藏的威胁的担忧。
太空海盗的 Erudite Mogwai 活动清楚地提醒我们,没有哪个组织能够免受网络间谍活动的侵害。借助 LuckyStrike Agent 等高级恶意软件和定制的黑客工具,APT 组织不断改进其策略,使早期检测变得比以往任何时候都更加重要。俄罗斯 IT 公司以及全球高科技行业必须对这种隐秘而持久的威胁保持警惕。
